Macromedia Flash Films
(5.2.00) das Plug-In des Betrachters meldet an den Hersteller wo der Film steht.
Bis jetzt ist mir aber nicht bekannt, daß User-Daten mit versendet werden.
Nachtrag zum Flash-Player von Macromedia:
Untersuchungen mit Packet-Sniffern konnten keinen Datenverkehr finden, der darauf
hindeutet, daß der Standort des Flash-Films zu Macromedia übermittelt
wird.
MailControl
Validiert sich während Online Sessions beim Hersteller.
Map+guide 7 (2. Ausgabe der Testversion)
wird von ZA mit diesem Log gemeldet:
MG.EXE,192.168.120.252:53,N/A
Hm, scheint mir eine Namensauflösung zu sein.... warum?
Mattel´s Kindersoftware Cosmopolitan My Style 1 / 2 installiert
sehr verdächtige Sachen auf der Platter des Anwenders. Ich zitiere hier
Dimi, der sehr tief recherchiert hat - und besser kann man´s nicht sagen,
thx Dimi:
"Die Software installiert unter Windows folgendes "programmchen": C : \Windows\BBStore\Dss\
Dssagent.exe und trägt folgenden Eintrag in der Registry:
HKEY_LOCAL_MACHINE\Software\Broderbund Software\DSS\ mit den Zweigen AppList
und SSIDs
Im DSS Zweig befinden sich die Einträge:
Name: Active - Wert: 0x00000001(1) *habe ich geändert und 0 (null) eingetragen
Name: CobwebInterval - Wert: 0x0000005a(90) *...interval? Klingt sehr verdächtig...
Name: ContentCheckDelay - Wert: 0x3a28c770(975751024) *???
Name: ServerURL - Wert: "www.brodcast.net/perl/DSS/querySS.cgi" *!!!!!!!!?????
Name: StorageLocation - Wert: "C: \Windows\BBSTORE\DSS\" * kennen wir schon...!!!
Die beiden anderen Zweige sind leer, vielleicht weil ich die "ServerLocation"
manipuliert habe und die datei Dssagent umbenannt habe....."
Mattel behauptet, daß dieser User-Agent ermöglicht Kundenwünsche
besser wahrnehmen zu können. Dimi fand weiter heraus:
"... Auf der Suche nach mehr Infos, bin ich auf deutsch- wie englischsprachige
Seiten gestoßen, die auf diese Tatsache hinweisen. Dort wird u.a. berichtet,
dass dieser ...agent, Informationen über die Umgebung des Programms an diesen
Server sendet und das PGP(!!!) verschlüsselt!...."
Quelle
Mircstats
(17.8.00)Das bekannte Proggie zum Erstellen von Channelstatistiken im IRC, verbindet
sich via Port 80 (tcp) zum Herstellerserver gamma.nic.fi
Das gilt auf jeden Fall für die Versionen 1.14.6 sowie 1.15.
MP3/Tag Studio v1.61
(26.4.) Diese Programm etabliert Reklame-Einblendung mit scheinbar
trojanischer Aktivität. Abhilfe schafft das Entfernen folgender Dateien,
die sich im
Verzeichnis \system oder \system32 befinden:
..\System32\CD_Gif.dll ..\System32\CD_Load.exe ..
\System32\CD_Clint.dll (nicht CD_Client.dll)
Desweiteren sollten folgende Reg-Keys entfernt werden: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RunCD_Load.exe HKEY_CURRENT_USER\Software\Cydoor und HKEY_CURRENT_USER\Software\CydoorServer
(oder CydoorServices)
Damit sollte das Problem behoben sein....
MPegDJ V1.94
(17.8.00)ruft nach jeder CDDB-Abfrage zuhause an und zwar nach
www.xaudio.de, Port 80
Musicmatch Jukebox 5.10.1052 German
(9.10)startet bei bestehender Netzverbindung Telefonate zum Server des Herstellers
- laut NIS.
Dabei hatte NIS die Verbindung durchgelassen....wieder ein Grund, von NIS Abstand
zu nehmen.
Namo WebEditor 4.02 Trial ger.(16.4.01)
versuchte sich auf Port 5599 nach draussen zu verbinden. Die Zieladresse wurde
leider nicht gespeichert...
Napster
Die Software, die es ermöglicht, seine Musikdateien mit anderen zu teilen,
übermittelt
auch die IP des Users, so daß den Copyright-Inhabern möglich wäre,
zu ermitteln wer
illegitim Musik vertreibt. ( 30.1.00) Quelle war eine Diskussion auf Cosmo´s
Board.
Napigator(26.12.00)
NIS meldet hierzu:
Regel Standard RASmin blockieren blockierte (212.41.211.54,8888).
Details: Abgehende TCP-Verbindung
Lokale Adresse, Dienst ist (localhost,1045) Remote-Adresse,
Dienst ist (212.41.211.54,8888)
Prozessname ist C:\PROGRAMME\THIRTY4 INTERACTIVE\NAPIGATOR\NAPIGATOR.EXE
Der Einsender betonte, daß RASmin ein Trojaner mit unauthorisiertem Verhalten
sei...ich kenne diesen Trojan nicht, und es könnte auch sein, daß
dieser outbound nur anhand des Dienstes als Tojan identifiziert wurde.
Denn Napigator connected ja über verschiedene Ports,
zumindest war das bei mir so. Aber es sei an dieser Stelle trotzdem gewarnt.
Naviscope(6.1.01)
Wie schon auf dem Securityboard
gewarnt, telefoniert dieses Programm nach Hause. Ein geblockter Referrer
".... sent to http://www.naviscope.com/AD=[AD]!X!468!Y!60
" sowie dieses Log beweisen es:
Abgehende TCP-Verbindung
Lokale Adresse, Dienst ist (localhost,1074)
Remote-Adresse, Dienst ist (www.naviscope.com,http)
Prozessname ist "C:\PROGRAMME\NAVISCOPE\NAVISCOPE.EXE
Ob tatsächlich derartig sensible Daten vom Programm aus versendet werden,
oder ob die Übertragung auf die Infektion mit einem anderen Trojaner beruht,
sei dahingestellt. Fakt ist jedoch, daß Naviscope heimfunkt!
Neotrace 2.10 sucht (4.2.00) auch den Herstellerserver
auf, was dabei konkret gesendet,
bleibt unklar. Handelt es sich hier nur um eine geographische Serverlokalisierung?
Vorsicht
ist geboten. t(13.2.00),das Prog Verbindung zu WhoIs-Servern
auf Port 43 aufnimmt.
Es speichert auch vom User ungewollt die persönliche Lokalisation auf dem
Neotrace-Server.
Neotrace 3.01(18.3.01)
Analog zur Vorgängerversion funkt auch die Version nach Hause, was durch
folgendes Log belegt wird:
Rule "NeoTrace" blocked (today.neotrace.com,http).
Details: Outbound TCP connection
Local address,service is (localhost,2422)
Remote address,service is (today.neotrace.com,http)
Process name is "NeoTrace.exe"
Neoplanet siehe hierzu den Link auf Tommy´s
Page bzgl Trojaner
in Programmen
Nero 4.0.8.3
Das beliebte Brennprog zickt (6.2.00 Info Cosmo´s Board ).
Mit Serial freigeschaltet lief es einige Tage, identifizierte sich aber nach
einer online-session
als Raubkopie. Der Verdacht liegt nahe, daß eine Validierung der Serial
beim Hersteller
stattfand. Muß nicht sein, ist aber wahrscheinlich. Wer hierzu einen Patch
kennt, bitte die URL
an mich schicken, die Brenner unter den hiesigen Lesern wären sicherlich
hocherfreut über
einen Link. Allerdings wurde auch auf Cosmo´s Board diskutiert, daß
die blacklisted Serials sich
bereits im Prog befinden, so daß die Soft sich sperrt, egal ob man online
geht oder nicht, der
Tenor war, daß Nero noch keine Phonehome-Soft ist. Entwarnung? Oder doch
nicht?
Eine Mail meint (9.2.00), daß die blacklisted Serials im Prog integriert
sind, daß keine
Online-Verifizierung stattfindet. Er empfiehlt für eine funzendes Prog
aktuelle Serials aus
dem Web zu verwenden.
Gerade gesehen: Bei Recording
Underground wird der Keygen von Core empfohlen
und angeboten (12.2.00)
(18.2.00)sehr plausibe Beschreibungl, wie sich seine V4050 beim Hersteller-
Update auf
V4075 von Ahead gesperrt hat. Das Prog erkannte sich daraufhin als Raubkopie
und
verwies auf die Hersteller-URL, um sich lizensieren zu lassen.
(9.10) Nero 5022
meldete nach einiger Betriebszeit, daß die Serial mittlerweile gesperrt
sei. Für diese Validierung muss ein Phonehome vorausgegangen sein.
Richtigstellung zu NERO
Anmerkung aus dem Hersteller-Team:
"....Nero versucht nicht, irgendeine Verbindung herzustellen um die Seriennummer
oder irgendwelche anderen Informationen zu übertragen. Wenn bei einem Anwender
eine bislang funktionierende Seriennummer plötzlich als Raubkopie angesehen
wird, dann nur aufgrund dessen, weil er ein Update von Nero durchgeführt hat,
also die neueste Nero Version von unserer WebSite oder einem unserer Mirrors
heruntergeladen hat.
.....Wir suchen regelmäßig nach 'veröffentlichten' Seriennummern und tragen
diese in Nero als 'geklaute' ein. Der Anwender, der sich über die plötzliche
'Raubkopie' beschwert, hat eine Seriennummer verwendet, die wir beim Update
von Nero 4.0.5.0 auf 4.0.7.5 in den Nero Quellcode eingetragen haben.....Bei
141.2.149.6 handelt es sich um einen öffentlichen Timeserver und port 37 wird
für das time/tcp protokoll verwendet. Der Anwender, der Dir das geschrieben
hat, hat eine falsche Annahme getroffen und Dir diese Annahme mitgeteilt. Warum
soll Nero die Atomzeit abfragen?....."
Geneigter Leser, nach der, wie ich finde, sehr erfreulichen Korrespondenz mit
diesem Mitglied des Entwicklerteams, werde ich das an entsprechender Stelle
ändern bzw. löschen. Dabei bedaure ich die Fehlinformation, nur kann ich nicht
alle Angaben jedesmal überprüfen. Wenn mir also eine Recherche plausibel erscheint,
übernehme ich sie. Ich bitte diesbzgl. um Verständnis. Die weitere Stellungnahme
dazu möchte ich nicht vorenthalten:
".....Ich möchte mich wiederholen: So sehr uns die veröffentlichten Seriennummern
stören, in keiner Nero Version ist ein Mechanismus implementiert, der die Seriennummer
oder irgendwelche anderen Userinformationen überträgt oder eine derartige Funktion
anstößt. Was wohl eingebaut werden wird: - Nero wird, wenn der Anwender es möchte,
prüfen können, ob es eine neuere Nero Version gibt und den Anwender darüber
informieren. - und Nero wird, wenn der Anwender es möchte, ob es eine neue aktualisierte
CDDB Datenbank gibt......."
Netants 1.23(25.12.00)
versucht laut NIS2001, Verbindungen ins Netz zu etablieren.
Abgehende TCP-Verbindung Remote-Adresse,
Dienst ist (ans1.adsoftware.com,http)
Prozessname ist "msipcsv.exe"
Das sieht nach Adware aus, bekannter Server durch Aureate.
Details: Abgehende TCP-Verbindung Remote-Adresse,
Dienst ist (62.52.56.180,http)
Prozessname ist "NetAnts.exe"
Netcaptor (14.4.00)
versucht ungewollt vom User, Verbindungen zu folgenden Adressen zu etablieren:
style.west.flyswat.com
master1.flyswat.com
master2.flyswat.com
get-dprefs.flyswat.com
ir.flyswat.com related.flyswat.com
pong.netcaptor.com
Bis auf letzte Adresse soll es sich um Werbungsserver handeln....
Netcounter
(9.10)verbindet sich zu www.softcentral.de und zwar automatisch und ungefragt.
Hierbei werden einige Bytes gesendet und empfangen.
Netinfo
Kontaktiert den Hersteller, nach Aufnahme einer Netzverbindung.
(21.6.00) Auch V3.75.604 versucht, selbst wenn testverlängert mit dem Keygen
von C.O.R.E. nach Hause zu telefonieren. Mit Atguard läßt sich das
aber blocken.
Jedoch wird berichtet, daß nach ein paar Tagen geblockten Betriebes das
Prog
nach wenigen Minuten samt Rechner einfriert. Nach Deinstallation gabs keine
Probs
mehr, also scheint die Problematik ursächlich bei NetInfo zu liegen.
Netjet
(22.3.00)Die Testversion von der Herstellerseite verbindet sich nach Eingabe
einer
Serial vom Internet scheinbar zu einem BSA-Server. Sobald man nach
Serial-eingabe den OK-Button drückt, wird versucht, dorthin eine dfue-Verbindung
zu
etablieren.
(26.4.) Einer Nachricht zufolge hängt die Umleitung zum BSA-Server mit
der
Eingabe einer Serial für die falsche Versionsnummer zusammen. Beachtet
man dies
und fügt die passende Serial ein, bleibt einem der kleine Ausflug zur BSA
erspart.
Tip: Sucht in den Serialz2000 zB bei http://www.gulli.com/
und achtet dabei auf
die passende Versionsnummer.
NetLab
(15.5.) sendet Time-Abfragen ins Netz, auch wenn dieses Feature
abgestellt ist. Dabei werden die unter besagter Option genannten Server angesteuert.
Das passiert v.a. beim Start des Progs.
Net.Medic 1.2.2
von VitalSigns (10.2.00)ist eine Phonehome-Soft. Ein Firewalllog bestätigt
den Verdacht:
Rule "Default Block All Unknown Connections" blocked (www.vitalsigns.com,http).
Details: Outbound TCP connection
Local address,service is (0.0.0.0,1035)
Remote address,service is (www.vitalsigns.com,http)
Process name is "C:\PROGRAMME\VITALSIGNS\NET.MEDIC\PROGRAM\VCC.EXE"
Nachtrag am 12.2.00: URL kann in der Registry erfolgreich verändert werden.
Das Prog versucht zwar immer noch sich zu verbinden, jedoch mit der manipulierten
Adresse.
Trotzdem sollte eine Firewall dazugeschaltet sein, vielleicht ist die Hersteller-URL
noch
irgendwo anders nochmal vermerkt.
Netscape
(11.7.00) Gezielte Spionage im Browser durch das Feature "SmartDownload".
Siehe
hier.
Netvampire (18.3.01)
auch Aureate-verseucht, nach Bereinigung mit Ad-aware startet das Programm
nicht mehr...
NewsRover
Verbindet sich beim Herunterladen von News mit dem Hersteller und validiert
die Serial.
Dazu das Atguard-log:
cki.sandh.com: 7520
136 bytes sent, 1676 bytes received,
Der User berichtet, daß nach Sperrung der Adresse und des Ports
die Überprüfung der Serial unterbleibt, das Prog weiter funktioniert,
aber die Funktionen "mp3 music locator" und "file attachment locator" nicht
mehr nutzbar sind.
Norton Antivirus 2000 Keine Updates beim Hersteller
machen, registriert die gecrackten
Files. Stattdessen gibt´s die Updates hier
+Von NAV (legal erworben!) wird berichtet,
daß das Prog während einer Online-Session auch ohne Aktivierung des
Features Live-Update
versuchte, Kontakt zum Hersteller zu etablieren (Info28.1.00) Wer kennt hierzu
einen Patch?
Updates können auch direkt beim Hersteller bezogen werden, hierbei allerdings
bitte nicht
Live-Update benutzen. Wer sich traut hier der link
( 5.2.00)
Nochmal Updates ( 6.200):http://www.tucows.de/
Heiße Info (6.2.00):NAV2000 von mehreren Warez-Sites angeboten, installiert
nach jedem vollständigen Festplattenscan den Trojan APStrojan.ob.pak.gen.virus
nach Windows\temp- Mcafee erkennt ihn, NAV selbst jedoch nicht. Wäre interessant,
ob das auch in der retail-version der Fall ist......bitte mailen, falls Info´s
vorhanden.
(25.6.) Laut einer Mail sei im neuen Engine-Update eine Phonehomefunktion integriert,
die von ZoneAlarm bemerkt wird und die vor dem Update noch nicht der Fall war.
(23.10.00) NAV2001 für Win2K pro versucht, auch bei nicht installiertem
Live-Update, nach Hause zu telefonieren, was aber mit ZoneAlarm unterbunden
werden kann.
Norton Internet Security (NIS)2000
(17.8.00)Die regulär erworbene Version telefoniert nach Hause.
Schuld daran ist wohl ein per Live-Update durchgeführtes
Programm-Update, welches gewisse Phonehome-features
implementiert hat. Ich betone, damit ist nicht das Live-Update
gemeint, sondern das hernach aktualisierte Programm.
Denn nach der Aktualisierung meldet sich ZoneAlarm, was es
zuvor nicht tat....
Laut ZA-Log ist der verantwortliche Programmteil der sog.
"Norton Antivirus Alert-Service".
Norton Personal Firewall(9.9.00)
Beim ersten Aufruf des Live-Updates versucht sich iamserv.exe laut ZoneAlarm
ins Internet
zu verbinden. Seltsamerweise beim zweiten Aufruf nicht mehr....
(28.9.00) Nachtrag zu NIS:
Norton Internet Security
schickt über Port 127 ein UDP-Packet
Lokale Adresse, Dienst ist (workmail,nbname)
Remote-Adresse, Dienst ist (213.182.136.255,nbname)
Prozeßname ist "C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE"
NTMail V5.0
(18.6.)Der beliebte Mailserver für WinNT/95/98 sendet in regelmäßigen
Abständen
über SMTP folgende Daten an den Hersteller: Registrationsnummer, IP-Adresse
für
die es genutzt wird, sowie den Rechnernamen. Dieses Feature kann seitens des
Users nicht abgestellt werden.
Oil Change
Das Update-Proggie holt sich die Updateliste beim Hersteller. Und checkt sich
dabei.
Online Counter 5.5
verifiziert (5.2.00) die Serial online und sperrt sich gegebenenfalls.
(28.9.00) Online Counter 2000 Version 1.0
verifiziert die Serial online, wenn nach Updates gecheckt
wird.
Das kann man zwar abstellen, aber ein Pop-up lockt trotzdem, nach Updates zu
gucken.
OtelO-Nexgo-Dialer(22.2.01)
versucht auch, bemerkt durch ZoneAlarm, eine Verbindung zum Update suchen herzustellen.
In dem Dial-Manager werden nur dummerweise auch Personenbezogene Daten hinterlegt.
Partition Magic 5.0
verbindet sich (7.2.00) bei bestehender Netzverbindung nach Installation
mit dem Hersteller
Personal Stock Monitor
(24.3.00) kontaktiert auch nach scheinbar erfolgreicher Registrierung den
Herstellerserver.
PhotoImpact- siehe hier
Photoshop 5 von Adobe
beim Update von 4 auf 5 (wohlgemerkt Installation ohne Web-Support)
finden
sich Ungereimtheiten (Mail 31.1.00). In der .exe fanden sich die Zeilen:
10064, "XpEriMentator 10065, "$$$
10078, "Could not load alert resource!"
10079, "*Anm. v. dablobb: hier stand seine Serial*
Welche sog. alert (=Alarm bzw Alarmstufe) resource wird hier vermisst?
Es wird auch von einem Fall berichtet, in dem das Prog wohl per Internet gesperrt
wurde.
Wer hat ähnliche Erfahrungen damit?
PowerDVD
läßt es sich (7.2.00) auch nicht nehmen, Infos über den User
an den Hersteller zu
senden. Auch wenn man in der Registry die URLs ändert, sind sie nach Neustart
wieder korrigiert...
PowerDVD 3.0(18.3.01)
ruft den IE auf und übermittelt beim Aufruf die Serial:
http://www.gocyberlink.com/registration/registration1.asp?SoftWare= POWERDVD&Version_Num=3.0&Cd_Key=XXXXXXXXXXXXXXXX&Company=
&FName= &Lang=Deu
Das das über den Browser geht, der ja per FW eigentlich raus darf, ist
so etwas nur schwer zu blocken, bzw zu bemerken.
The present default action is to "permit" communications.
Details: Outbound TCP connection
Remote address,service is (www.gocyberlink.com,http)
Process name is "IEXPLORE.EXE"
Powermarks (28.9.00)
der Bookmarkchecker checkt nicht nur die Bookmarks, sondern connected auch zu
http://www.kaylon.com/ - und das stand nicht in den Bookmarks!
Pretty Good Solitaire 2k" (Version 6.1.2)
im Zustand der TZV war es, nachdem es während einer Online-Session gespielt
wurde, plötzlich wieder unregistriert...der Benutzer hatte ungünstigerweise
den ZoneAlarm deaktiviert. Erneute TZV ist problemlos.
Promoware Diese Soft verbindet
sich mit dem Hersteller, welcher auch
konsequent den User identifiziert und anmailt -mit Androhung von Strafanzeige.
Der Hersteller ließ sich aber in dem mir bekannten Beispiel aus einem
Board mit
dem Kauf der Software besänftigen. siehe
auch Rankware
Quake 3 NICHT über den Hersteller-Server spielen.
Falls jemand einen unabhängigen
Server kennt, bitte mailen. Hier
kann ein "cracked server detector" gedowned werden.
Oder bei http://www.gamecopyworld.com/
direkt suchen. Da ich kein Quake-player bin,
mailt mir bitte, was Ihr davon haltet. (22.5) Mir wurde bestätigt, daß
bei Quake 3 Arena,
es bei Netzwerkspielen möglich sei, daß der Server Userdaten ermittelt.
Abhilfe schaffe
das neueste Update.....wer hat damit schon Erfahrungen?
QuickLink Explorer v4.0beta Build 92
Info(3.2.00), daß sich nach Installation des Progs im 5-Minuten-Takt versucht
wird,
eine Verbindung herzustellen:
Rule "Outbound TCP service: port 1975" blocked (aim1.adsoftware.com,1975).
Details: Outbound TCP connection
Local address,service is (0.0.0.0,1065)
Remote address,service is (aim1.adsoftware.com,1975)
Process name is "C:\PROGRAMME\INTERNET EXPLORER \IEXPLORE.EXE"
Die Zieladresse variiert folgendermaßen: aim1.adsoft...; aim2.adsoft....,aim3.adsoft
usw.
Das Phänomen bleibt auch nach De-Installation des Progs bestehen.
Wird hier nur Werbung geholt oder auch Daten versendet? Siehe
auch Aureate-Software